Windows Server 远程桌面授权服务 RDL曝高危漏洞

admin 2024年8月9日13:32:19评论547 views字数 1749阅读5分49秒阅读模式

Windows Server 远程桌面授权服务 RDL曝高危漏洞

漏洞概况
微步情报局今天监测到互联网上曝光了Windows Server 远程桌面授权服务(RDL)远程代码执行漏洞(CVE-2024-38077),经过确认,该漏洞微软已于7月9号修复,微步漏洞情报也已于当日(1个月前)收录了相关漏洞情报,具体详情请参考:

https://x.threatbook.com/v5/vul/XVE-2024-16782

经过初步分析,该漏洞成因是由于在解码许可密钥包时,未正确检验解码后的数据长度与缓冲区大小之间的关系,导致缓冲区溢出。攻击者无需任何权限,利用该漏洞即可实现远程代码执行。此漏洞影响较大,建议受影响的客户尽快修复。

值得注意的是,该漏洞完整漏洞PoC暂未公开。微步情报局目前监测到所谓的公开PoC,经过验证为假(具体链接见文末)。建议用户谨慎下载,更不要随意运行!

由于目前正值演练期间,攻击者很可能利用该事件进行后续钓鱼攻击,建议企业对于收到的可疑样本提交到微步云沙箱S进行分析鉴定。


漏洞处置优先级(VPT)

经过对该漏洞的初步分析,结论如下:

1. 该漏洞只影响Windows Server,不影响Windows PC。

2. 漏洞发生在远程桌面授权服务中,该服务不是默认开启的。(不开启该服务也不会影响RDP登录,所以开放了RDP也并不完全等于受该漏洞的影响)

Windows Server 远程桌面授权服务 RDL曝高危漏洞

3. 根据国外网站的漏洞利用视频,该漏洞利用稳定性可能很高。

基本信息

微步编号

XVE-2024-16782
漏洞类型
远程代码执行

利用条件评估

利用漏洞的网络条件

远程

是否需要绕过安全机制

不需要

对被攻击系统的要求

需开启RDL服务(默认不开启)

利用漏洞的权限要求

无需任何权限

是否需要受害者配合

不需要

利用情报

POC是否公开


微步已捕获攻击行为

漏洞影响范围
影响Windows Server 版本如下:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
修复方案

官方修复方案:

  1. 使用Windows自动更新功能,更新补丁
  2. 无法自动更新补丁的系统,官方已发布补丁:

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

临时修复方案:

临时关闭远程桌面授权服务,关闭该服务不会影响远程桌面服务。但关闭远程桌面授权服务后,RDP登录时只能允许同时运行2个以内的会话。

验证为假的PoC链接

https://github.com/CloudCrowSec001/CVE-2024-38077-POC

- END -

原文始发于微信公众号(微步在线研究响应中心):Windows Server 远程桌面授权服务 RDL曝高危漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月9日13:32:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows Server 远程桌面授权服务 RDL曝高危漏洞http://cn-sec.com/archives/3049497.html

发表评论

匿名网友 填写信息